Hackeři naplňují projekty na GitHubu, které skrývají škodlivý kód.

Kyberkriminálníci maskují škodlivý kód pomocí „neviditelných“ Unicode‑znaků

Nové výzkumy společnosti Aikido Security ukázaly, že na začátku března se na GitHub objevil 151 projektů obsahujících skrytý špionážní kód. Škodlivé balíčky používají Unicode znaky, které pro člověka vypadají jako mezery nebo prázdné řádky, ale při běžném spuštění JavaScriptu se převádějí na spustitelný bajtový kód a dostávají se do funkce `eval()`.

Jak vypadá útok
1. Název knihoven

Balíčky nazývají stejně jako známé komerční řešení (např. „React“ nebo „Node.js“). To nutí vývojáře omylem považovat je za bezpečné a zahrnout do svých projektů.

2. “Čitelné” kódy + skryté fragmenty

Většina kódu vypadá jako běžný, snadno čitelný program. Uvnitř jsou však bloky naplněné „neviditelnými“ znaky. Při ručním prohlížení mizí a při vykonání se aktivují.

3. Testovací repozitáře

Takové škodlivé balíčky byly objeveny nejen na GitHub, ale i v NPM, Open VSX a marketplace Visual Studio Code.

Proč je těžké je poznat
- Změny v projektech vypadají normálně: aktualizace verze, opravy chyb, refaktorování.

- Podle expertů útočníci používají velké jazykové modely AI k automatizaci podvrhu kódu. To umožňuje rychle připravit více než 150 projektů bez ruční práce.

Historie znaků
Unicode znaky odpovídající latinským písmenům byly přidány do systému před desetiletím. Od roku 2024 je hackeři používají k maskování škodlivých požadavků na chat‑bota a kódu v repozitářích. Tradiční nástroje statické analýzy je neodhalí; pouze při vykonání JavaScriptu malé dekodéry odhalí skutečný bajtový kód.

Co dělat vývojářům
1. Kontrolujte závislosti – před připojením externích knihoven pečlivě prostudujte jejich zdrojový kód a historii změn.

2. Automatické kontroly – používejte lintery, skenery na „neviditelné“ znaky a nástroje pro analýzu dynamického chování.

3. Aktualizujte – sledujte, aby balíčky nebyly po stažení odstraněny; to může signalizovat skrytou hrozbu.

Perspektivy
Pokud se předpoklady o použití AI v této schématu potvrdí, bude odhalování a odstraňování takových útoků stále obtížnější. Přesto je uvědomělý přístup k ověřování zdrojového kódu a závislostí nejlepší ochranou proti podobným hrozbám.